Kategorie: Aufsichtsbehördliche Maßnahmen

Dringlichkeitsverfahren gegen Facebook eröffnet

15. April 2021

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBdFI) hat sich in der Causa neue WhatsApp-Nutzungsbedingungen für einen drastischen Schritt entschieden. In einer Pressmitteilung gibt die Behörde bekannt, ein Dringlichkeitsverfahren gem. Art. 66 DSGVO gegen die Facebook Ireland Ltd. eröffnet zu haben.

Was ist ein Dringlichkeitsverfahren?

Ein Dringlichkeitsverfahren gem. Art. 66 DSGVO bietet einer Aufsichtsbehörde die Möglichkeit, Vorkehrungen für Eilfälle zu schaffen, wenn dringender Handlungsbedarf zum Schutz der Rechte und Freiheiten von betroffenen Personen besteht. Eine Aufsichtsbehörde kann in diesen Fällen hinreichend begründete Maßnahmen mit einer festgelegten Dauer in ihrem Hoheitsgebiet erlassen.

Das Dringlichkeitsverfahren in Hamburg

Die Hamburger Datenschutzbehörde hat sich nun, mit Blick auf die Aktualisierung der Nutzungsbedingungen und der Datenschutzrichtlinie von WhatsApp, für dieses Verfahren entschieden. Da Facebook seine deutsche Niederlassung in Hamburg hat, ist auch die Hamburger Behörde zuständig und kann ein Verfahren gegen Facebook eröffnen, um die Rechte und Freiheiten deutscher Nutzer zu schützen.

Konkret führt Prof. Dr. Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, zu dem Verfahren gegen Facebook aus: “WhatsApp wird in Deutschland mittlerweile von fast 60 Millionen Menschen genutzt und ist die mit Abstand meistgenutzte Social Media-Anwendung noch vor Facebook. Umso wichtiger ist es, darauf zu achten, dass die hohe Zahl der Nutzer, die den Dienst für viele Menschen attraktiv macht, nicht zu einer missbräuchlichen Ausnutzung der Datenmacht führt. Leider ist es bislang zu keiner uns bekannten aufsichtsbehördlichen Überprüfung der tatsächlichen Verarbeitungsvorgänge zwischen WhatsApp und Facebook gekommen. Derzeit besteht Grund zu der Annahme, dass die Bestimmungen zum Teilen der Daten zwischen WhatsApp und Facebook mangels Freiwilligkeit und Informiertheit der Einwilligung unzulässig durchgesetzt werden sollen. Um gegebenenfalls einen rechtswidrigen massenhaften Datenaustausch zu verhindern und einen unzulässigen Einwilligungsdruck auf Millionen von Menschen zu beenden, ist nun ein förmliches Verwaltungsverfahren zum Schutz Betroffener eingeleitet worden.“

Über den Fortgang des Verfahrens werden wir Sie weiterhin im Datenschutzticker informieren.

Schrems reicht Beschwerde gegen Google ein – Werbe-IDs auf Android Smartphones

14. April 2021

Der Wiener Datenschutzaktivist Max Schrems hat bei der französischen Datenschutzbehörde CNIL eine Beschwerde gegen Google eingereicht. Die österreichische Datenschutzorganisation noyb („none of your business“), dessen Vorsitzender Schrems ist, bestätigte den Schritt und führte die Gründe für die Entscheidung auf ihrer eigenen Website auf.

Konkret wendet sich noyb mit seiner Beschwerde gegen Googles AAID (Android Advertising Identifier). Dabei wirft noyb Google vor, ein unrechtmäßiges Tracking auf Android-Smtartphones zu verfolgen, bei dem der semi-permanente Device Identifier AAID es durch eine versteckte, eindeutige Werbe-ID, Google und allen Apps auf dem Smartphone ermöglicht, Informationen über das Online- und Offlineverhalten der Nutzer zu kombinieren. Die Datenschutz-Aktivisten sehen darin eine gezielte Verfolgung der Nutzer, die gem. der DSGVO einer Einwilligung bedürfe. Eine solche holt Google allerdings nicht ein.

Dass Google hier möglicherweise nicht mit offenen Karten spielt, leuchtet ein, denn mithilfe von AAID lassen sich gezielt Konsumpräferenzen hochrechnen und dadurch personalisierte Werbung schalten. Für die Benutzer der Smartphones gibt es keine Option diese Art von Tracking zu umgehen oder gar auszuschalten, das Tracking bleibt beim Benutzen des Smartphones stets aktiv.

Man darf gespannt sein, welche Entscheidung die französische Datenschutzbehörde in Sachen Google treffen wird. Die Tragweite der Entscheidung darf jedenfalls nicht unterschätzt werden. Wir werden Sie in jedem Fall mit dem Datenschutzticker auf dem Laufenden halten.

Bayerisches Landesamt für Datenschutzaufsicht: Nutzung von Mailchimp in einem Fall unzulässig

7. April 2021

Für die Übermittlung personenbezogener Daten in Drittländer sind durch Entscheidung des EuGH bereits Voraussetzungen für Unternehmen entwickelt worden. Diese sollten insbesondere in Anbetracht der aktuellen Arbeit der Datenschutzbehörden von den Unternehmen regelmäßig überprüft werden.

In dem konkreten Fall geht es um Mailchimp, einem US-Newsletter Dienstleister. Ein Newsletter Empfänger war an die bayerische Datenschutzbehörde herangetreten. Die Datenschützer entschieden, dass die Nutzung des Newsletter Dienstes nicht zulässig sei.

Mailchimp nutzt für die Übermittlung der personenbezogenen Daten in Drittländer die EU-Standardvertragsklauseln nach Artikel 46 der DSGVO. Zusätzlich muss jedoch eine Prüfung vorgenommen werden, die das Datenschutzniveau ermittelt, um die Notwendigkeit “zusätzlicher Maßnahmen” festzustellen.

Weil die Prüfung nicht geschah, entschied das Bayerische Landesamt für Datenaufsicht, dass Mailchimp von dem Unternehmen nicht weiter genutzt werden darf. Die Entscheidung der Datenschutzbehörde zeigt die Notwendigkeit der Einhaltung der Vorgaben bei der Übermittlung von Daten in Drittländer. Damit wird bei der Datenübertragung in die USA die Datenschutzkonformität in den Vordergrund gestellt.

Es liegt im Verantwortungsbereich des Unternehmens die Maßnahmen, die der Anbieter im Drittland trifft, datenschutzrechtlich zu prüfen, um die personenbezogenen Daten zu schützen. Daraus folgend kann das Unternehmen alternative Anbieter ermitteln oder den Aufwand für eine Umstellung festhalten.

Booking.com muss Strafe zahlen

6. April 2021

Weil Booking.com einen Datenschutzvorfall zu spät gemeldet hat, hat die niederländische Datenschutzbehörde Autoriteit Persoonsgegevens (AP) eine Strafe in Höhe von 475.000 Euro verhängt. Bereits 2019 konnten Hacker auf die Daten von über 4000 Kunden zugreifen, darunter auch Personalausweis- und Kreditkartendaten. Die Entscheidung zeigt, dass nicht nur die Verhinderung von Datenpannen höchste Priorität hat, sondern auch der konstruktive Umgang mit den Betroffenen und der Aufsichtsbehörde, wenn es doch einmal zur Datenpanne gekommen ist.

Über Mitarbeiterkonten mehrerer Hotels in den Vereinigten Arabischen Emiraten haben die Hacker Zugang zu den Daten bekommen. Dieser Zugang könnte durch “social-engineering”-Techniken (im negativen Kontext: das Ausnutzen einer Schwachstelle eines Menschen) oder Phishing erlangt worden sein. Daher sieht sich Booking.com nicht in der Verantwortung und stellt sich auf den Standpunkt, die Daten seien nicht über die eigene IT-Infrastruktur abgegriffen worden.

Die AP sieht hingegen Hinweise auf eine Mitverantwortung des Betreibers. Das große Problem für Booking.com ist jedoch, dass sie die Datenpanne erst nach 22 Tagen den betroffenen Kunden und nach 25 Tagen der Aufsichtsbehörde gemeldet haben. Nach Artikel 33 Abs. 1 DSGVO muss eine entsprechende Meldung aber binnen 72 Stunden nach Bekanntwerden beim Verantwortlichen erfolgen. Booking.com arbeitet nun an einer Verbesserung seiner internen Prozesse.

DSGVO-Verstöße als österreichisches Geschäftsmodell?

29. März 2021

Die österreichische Datenschutzorganisation noyb hat Beschwerde gegen die Kreditauskunftei CRIF und den Adressverlag AZ Direct Österreich eingereicht. Der Vorwurf: Millionenfache Weitergabe personenbezogener Daten ohne rechtliche Grundlage.

Ein Betroffener hatte ein Auskunftsbegehren nach Art. 15 DSGVO an CRIF gestellt. Diese hatte neben Personenstammdaten auch veraltete Wohnadressen des Betroffenen gespeichert. Als Quelle für die erhobenen Daten hatte CRIF ausschließlich den Adressverlag AZ Direct Österreich angegeben, einer Tochterfirma der Bertelsmann Stiftung.

Die österreichische Datenschutzorganisation noyb legte Beschwerde gegen beide Unternehmen ein. Noyb wirft ihnen vor ohne rechtliche Grundlage personenbezogene Daten ausgetauscht zu haben. Außerdem fehle es an der Wahrnehmung der Informationspflichten seitens CRIF und AZ Direct. Der Informationsaustausch soll ohne Einwilligungen der Betroffenen stattgefunden haben. Auch fehle es laut noyb an einer etwaigen Zweckbindung der Datenweitergabe. Die im Gewerberegister als Adressverlag eingetragene AZ Direct GmbH dürfe als solche personenbezogene Daten lediglich zu Direktmarketingzwecken weitergeben. CRIF soll die Daten entgegen dieser rechtlichen Regelung zu Zwecken der Bonitätsprüfungen genutzt haben. Damit verstoßen CRIF und AZ Direct laut noyb gegen das datenschutzrechtliche Prinzip der Zweckbindung.

Der Fall soll laut noyb keinen Einzelfall darstellen. Schätzungsweise seien über Jahre Millionen von Datensätzen gesammelt worden. Sollte sich noyb mit der Beschwerde gegen CRIF und AZ Direct durchsetzen, drohen beiden Bußgelder in Millionenhöhe.

OVG Saarlouis: Daten aus E-Mail-Angaben dürfen Unternehmen nicht für Telefonwerbung verwenden

19. März 2021

Personenbezogene Daten, die Verbraucher in E-Mails angeben, dürfen von Unternehmen nicht für andere Werbezwecke genutzt werden. Das entschied das Oberverwaltungsgericht Saarlouis durch Beschluss vom 16.02.2021 (Az. 2 A 355/19) und bestätigte damit ein Urteil des Verwaltungsgerichts Saarlouis vom 29.10.2019 (Az. 1 K 732/19). Durch die Angabe einer Telefonnummer in einer E-Mail, willigt der Verbraucher nicht automatisch in Werbeanrufe ein. Nutzen Unternehmen die Telefonnummer für Werbeanrufe, liegt darin ein Verstoß gegen die DSGVO.

Hintergrund der Entscheidung:

Die Klägerin, ein Unternehmen, ist im Bereich der Versicherungsvermittlung, der Vermögensanlage sowie der Finanzierung tätig. Im Rahmen dieser Tätigkeit betrieb sie auch telefonische Werbetelefonate. Zwei Betroffene, die ebenfalls zu Werbezwecken von der Klägerin kontaktiert worden waren, beschwerten sich bei der zuständigen Datenschutzbehörde (Beklagten) darüber und gaben an, niemals eine Einwilligung in eine solche Werbeansprache erteilt zu haben. Die Datenschutzbehörde erließ nach Anhördung der Klägerin daraufhin eine Anordnung, in der sie die Klägerin zur Einstellung der Verarbeitung personenbezogener Daten für Werbezwecke nach Art. 58 Abs. 2 lit. f DSGVO sowie zur Löschung der Daten der betroffenen Personen nach Art. 58 Abs. 2 lit. g DSGVO aufforderte. Zur Begründung führte sie an, vorliegend seien Name, Adresse und Telefonnummer der Betroffenen als personenbezogene Daten gem. Art. 4 Nr. 1 DSGVO erhoben und letztere zu Zwecken des telefonischen Direktmarketings ohne Einwilligung der Betroffenen durch das Unternehmen verwendet worden.

Dagegen erhob das Unternehmen Klage und gab an, eine wirksame Einwilligung sei durch ein vollständig durchlaufendes Double-Opt-In-Verfahren eingeholt worden.

Double-Opt-In

Bei diesem Verfahren erklärt der Nutzer in einem ersten Schritt seine Zustimmung zur Aufnahme in eine Verteilerliste durch die einmalige Eingabe seiner E-Mail-Adresse (sog. Single/Einfaches-Opt-In). In einem zweiten Schritt erhält er eine sich anschließende Bestätigungs-E-Mail mit der Möglichkeit, die Anmeldung zu bestätigen. Erst mit dieser Bestätigung wird die Registrierung wirksam und das Double-Opt-In abgeschlossen.

Im konkreten Fall hätten die Betroffenen sich für ein Gewinnspiel eingetragen, woraufhin sie eine Bestätigungs-E-Mail erhielten, die diese auch bestätigten, so die Klägerin. Zum Beweis dafür wies sie eine entsprechende Online-Registrierung aus, in der eine E-Mail-Adresse und der Eingang einer Bestätigungsmail vermekt waren.

Die Betroffenen verneinten die Eintragung in einen solchen Verteiler und eine entsprechende Bestätigung.

Die Entscheidung der Gerichte

Das Verwaltungsgericht wies die Klage des Unternehmens ab, mit der Begründung, dass über das Double-Opt-In-Verfahren nur eine Einwilligung per E-Mail-Werbung generierbar sei, nicht aber auch für Telefonwerbung. Dies bestätigte das Oberverwaltungsgericht nun. Das Double-Opt-In Verfahren per E-Mail sei nicht zum Nachweis der Einwilligung in Telefonwerbung geeignet. Die Anforderungen an eine rechtmäßige Verarbeitung gem. Art. 6 Abs. 1 DSGVO erfüllte die Klägerin nicht. Nach Art. 6 Abs. 1 lit. a DSGVO ist eine Verarbeitung nur dann rechtmäßig, wenn die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat. Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche gem. Art. 7 Abs. 1 DSGVO nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Diese konkreten Nachweise konnte die Klägerin im vorliegenden Fall nicht erbringen. Auch ein Rückgriff auf das in Art. 6 Abs. 1 lit. f DSGVO bezeichnete “berechtigte Interesse”, sei der Klägerin, so das OVG, verwehrt. Dies begründete es damit, dass die Bewertungsmaßstäbe des § 7 Abs. 2 Nr. 2 des Gesetzes gegen den unlauteren Wettbewerb (UWG), auch im Rahmen des Art. 6 Abs. 1 lit. f DSGVO berücksichtigt werden müssen. Nach § 7 Abs. 2 Nr. 2 UWG ist eine unzumutbare Belästigung stets anzunehmen bei Werbung mit einem Telefonanruf gegenüber dem Verbraucher, ohne dessen vorherige ausdrückliche Enwilligung. Eine Berücksichtigung etwaiger “berechtigter Interessen” des Werbenden sei in § 7 Abs. 2 Nr. 2 UWG aber nicht vorgesehen.

Fazit

Unternehmen dürfen Telefonnummern, die sie durch das Double-Opt-In-Verfahren per E-Mail erlangt haben, nicht für Werbeanrufe nutzen. Bei einem Verstoß gegen das UWG und der DSGVO drohen hohe Bußgelder.

OVG Lüneburg: Vor der Veröffentlichung von Gruppenbildern auf sozialen Netzwerken bleibt die Einwilligung aller Abgebildeten unerlässlich

2. März 2021

Seit der Geltung der DSGVO liegt nun erstmalig ein zweitinstanzlicher Beschluss vor, welcher die Veröffentlichung von Gruppenbildern auf sozialen Netzwerken thematisiert.

Das Teilen von Bildern ist nicht nur zum Alltag vieler junger Leute geworden, sondern auch Unternehmen und politische Parteien nutzen die Gelegenheit durch das Teilen von Fotos ihre externe Kommunikation auf sozialen Netzwerken auszubauen und Wirkungskreise zu erweitern. Diese “Teilfreudigkteit” birgt allerdings auch die Gefahr des Missbrauchs. Dies haben die Gerichte erkannt und durch den Beschluss die datenschutzrechtliche Position der Betroffenen bestärkt.

Das OVG Lüneburg entschied am 19.01.2021 (Az.: 11 LA 16/20) über die Rechtmäßigkeit einer datenschutzrechtlichen Verwarnung gegenüber eines Partei- Mitglieds.

Das Mitglied einer Partei hatte im August 2014 zu einem öffentlichen Ortstermin eingeladen, um über den Bau einer Ampelanlage zu berichten. Hierbei entstand ein Foto, auf dem 30-40 Personen zu sehen waren. Der Politiker veröffentlichte dieses Foto vier Jahre später auf seinem öffentlichen Facebook Account.

Eine der abgebildeten Personen erkannte sich selbst und forderte den Politiker zur Stellungnahme und Löschung des Fotos auf. Weil er dem nicht nachgekommen war, leitete die betroffene Person daraufhin ein aufsichtsbehördliches Prüfverfahren nach Art. 57 I lit. a und lit. f und Art 58 I lit. b DSGVO ein, welches eine Verwarnung des Politikers und die Übernahme der Kosten in Höhe von 350 Euro zum Ergebnis hatte.

Als rechtliche Grundlage der Verarbeitung personenbezogener Daten wurde Artikel 6 Abs. I S. 1 lit. f der DSGVO herangezogen. Ein berechtigtes Interesse des Veröffentlichenden sollte hier jedoch nicht gegeben sein. Die Veröffentlichung solcher Fotos auf sozialen Netzwerken mit einer weitgehenden Reichweite, birgt erhebliche Risiken und Missbrauchsmöglichkeiten. Demnach ist der Schutz des Betroffenen vordergründig und findet auch keine Grundlage in möglichen journalistischen Zwecken aus Art. 85 II der DSGVO. Die Veröffentlichung des Bildes hatte nicht erkennbar solchen Zwecken gedient.

Auch wenn der BGH zuvor in seinem Urteil vom 11.11.2014 – (VI ZR 9/14) die Ansicht vertrat, dass Teilnehmer einer öffentlich bekannt gemachten Veranstaltung mit der Anfertigung von Fotos zur Veröffentlichung rechnen müssten und sie mit ihrer Anwesenheit und dem Wissen eine konkludente Einwilligung zur Veröffentlichung abgäben, ist dies nur für die Presse, nicht aber für Veröffentlichungen auf sozialen Netzwerken der Fall.

Der Beschluss des OVG Lüneburg zeigt auf, dass auch für Parteien und Unternehmen Vorsicht geboten ist, Bilder mit Personengruppen für eigene Zwecke auf sozialen Netzwerken zu teilen. Auch auf öffentlichen Veranstaltungen ist die Einwilligung jeder abgebildeten Person unerlässlich.

Gemeinsamer Datenschutz-FAQ-Katalog für Unternehmen

28. Februar 2021

Nach einer großangelegten Umfrage durch den Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI), Herrn Dr. Lutz Hasse bei Thüringer Unternehmen sowie einer anschließenden Frageaktion der Kammern, ist in Kooperation mit den IHKs und HWKs ein umfangreicher FAQ– Katalog für Unternehmen fertiggestellt worden.

Die FAQs enthalten Antworten auf viele Fragestellungen, die dem TLfDI nach Auswertung der Unternehmensumfrage relevant erschienen. Darüber hinaus wurden auch Problemstellungen berücksichtigt, die von den Kammern an den TLfDI herangetragen wurden. Die FAQs sollen nun der Information und Unterstützung der Unternehmen bei Fragen zum Datenschutz dienen.

Inhaltlich werden viele Themen des Datenschutzes abgedeckt. So bietet der Katalog beispielsweise Antworten bei der Benennung des betrieblichen Datenschutzbeauftragten (bDSB), bei den rechtlichen Grundlagen für die Datenverarbeitung, den Beschäftigtendatenschutz, Werbung, technische und organisatorische Anforderungen, Auftragsverarbeitung und vieles mehr.

Deutsche Wohnen muss vorerst kein Bußgeld über 14,5 Millionen Euro zahlen

26. Februar 2021

Noch im Herbst 2019 hatte die Berliner Datenschutzbeauftragte Maja Smoltczyk einen Bußgeldbescheid in Höhe von 14,5 Millionen Euro gegen die Deutsche Wohnen SE erlassen (wir berichteten) – das bis dahin höchste Bußgeld in Deutschland auf Grundlage der DSGVO. Nun hat das LG Berlin den Bußgeldbescheid für unwirksam erklärt.

Die Ausgangslange

Bereits 2017 ist die Deutsche Wohnen der Berliner Datenschutzbehörde aufgefallen. Die Datenschützer warfen dem Immobilienunternehmen vor, Daten in einem Archivsystem zu speichern, das es nicht ermögliche, nicht mehr erforderliche Daten zu löschen. Auf diese Weise entstanden über Zeit “Datenfriedhöfe”, auf denen Daten von Personen lagen, die schon gar keine Mieter mehr waren. Dieser Zustand ermöglichte es, dass teils Jahre alte Daten von Mieterinnen und Mietern, etwa Sozial- und Krankenversicherungsdaten, Arbeitsverträge oder sonstige Informationen über die eigenen finanziellen Verhältnisse, noch immer eingesehen und verarbeitet werden konnten.

An diesem Zustand änderte sich auch bis zur nächsten Kontrolle im März 2019 nichts, woraufhin die Behörde das Rekordbußgeld in Höhe von 14,5 Millionen Euro verhängte. Die Deutsche Wohnen hatte bereits nach Erhalt des Bußgeldbescheides angekündigt, diesen gerichtlich überprüfen zu lassen.

Die Entscheidung des LG Berlin

Die 26. Große Strafkammer des LG Berlin hat das Verfahren eingestellt. Das Gericht kam zu der Überzeugung, dass der Bußgeldbescheid “gravierende Mängel” aufweist und damit “unwirksam war”. Die Kammer begründete ihren Beschluss laut Sprecherin damit, dass entgegen der Rechtsauffassung der Aufsichtsbehörde eine juristische Person nicht Betroffene in einem Bußgeldverfahren sein könne. Nur eine natürliche Person sei imstande, eine Ordnungswidrigkeit vorwerfbar zu begehen. Der Bußgeldbescheid enthalte keine Angaben zu konkreten Tathandlungen eines Organs des Unternehmens und könne in der konkreten Form nicht Grundlage des Verfahrens sein.

Die Entscheidung überrascht, denn damit vertritt das LG Berlin eine andere Ansicht als das LG Bonn in einem ähnlich gelagerten Fall. Im November des vergangenen Jahres reduzierte das LG Bonn zwar den Bußgeldbescheid gegen 1&1 auf 900.000€, bestätigte aber gleichzeitig einen Verstoß gegen die DSGVO (wir berichteten). Das LG Bonn bejahte die Geltung des Europäischen Unternehmensbegriffes, wonach Bußgelder auch jenseits des Ordnungswidrigkeitengesetzes (OWiG) möglich sind.

Damit dürfte allerdings nur vorerst das letzte Wort gesprochen sein. Die Berliner Datenschutzbehörde hat nun eine Woche Zeit, um sofortige Beschwerde beim Kammergericht einzulegen. Smoltczyk kündigte bereits an, die Staatsanwaltschaft zu bitten, von diesem Recht gebrauch zu machen. Man darf also gespannt sein, wie es weitergeht.

Drittstaatenübermittlung: Risiken bei der Nutzung von US-Cloud Anbietern – Datenschutzbehörden richten Task Force ein

17. Februar 2021

Immer wieder verlagern europäische Firmen ihre Daten auf die Server von US Konzernen und das obwohl der Europäische Gerichtshof im Juli letzten Jahres in dem sogenannten Schrems-II-Urteil das Datenschutzabkommen Privacy Shield und damit die rechtliche Grundlage für den Transfer personenbezogener Daten zwischen der EU und den USA wegen ungenügenden Datenschutzes gekippt hat.

Problematisch an diesem Datentransfer und einer Zusammenarbeit mit US-Cloud-Diensten ist insbesondere, dass US-Geheimdienste einen umfangreichen Zugriff auf die bei den amerikanischen Unternehmen gespeicherten Daten haben – und dass auch dann, wenn die Daten in Europa gespeichert werden.

Derzeit ist ein Datentransfer daher nur dann datenschutzrechtlich unbedenklich, solange die beteiligten Unternehmen alternative Lösungen zur Aufrechterhaltung eines angemessenen Datenschutzniveaus verwenden, wie zum Beispiel EU-Standardvertragsklauseln nebst zusätzlicher Garantien. Diese müssen jedoch – im Gegensatz zu einem Transferabkommen – für jeden Verarbeitungsvertrag separat ausgehandelt werden. Dies ist nicht nur aufwendig, sondern in der Praxis auch nur schwer umsetzbar, da in den meisten Fällen mit Amazon, Microsoft oder Google kein individueller Verarbeitungsvertrag geschlossen wird. Aus diesem Grund wünschen sich sowohl Datenschützer als auch die Industrie ein neues Abkommen.

Ein solches ist bislang noch nicht in Sicht. Daher setzen zahlreiche deutsche Unternehmen weiter auf die Lösungen von US-Cloud-Anbietern oder steigen gerade erst auf diese um, statt sich von ihnen zu lösen.

Die deutschen Aufsichtsbehörden wollen nun härter durchgreifen und die Einhaltung der Bestimmungen der Datenschutzgrundverordnung stärker kontrollieren.

Wie das Handelsblatt berichtete, haben die Aufsichtsbehörden zur Cloud-Problematik eine spezielle Task Force eingerichtet. Dabei wollen sie stichprobenartig bundesweit Unternehmen auswählen, bei denen die Vermutung besteht, dass sie Dienstleister aus Drittstaaten verwenden. Die Task Force soll mit deutschen Unternehmen den Einsatz von US-Cloud-Diensten besprechen und gegebenenfalls Alternativen vorschlagen wie z.B. einen Wechsel des Anbieters oder eine Aussetzung der Datenübermittlung. Aber auch die Verhängung von Bußgeldern ist laut den Datenschutzbehörden dann angezeigt, wenn keine zufriedenstellende Lösung gefunden werden kann. Diese können bis zu 20 Mio. Euro betragen oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes.

Es bleibt daher abzuwarten, wie die Datenschutzbehörden im Rahmen ihrer Task Force vorgehen werden, welche Bußgelder verhängt werden und ab wann eine europäische Lösung für die Frage der Drittsaatenübermittlung gefunden wird.

1 2 3 24